漏洞扫描远程安全评估系统技术参数.docx

漏洞扫描远程安全评估系统技术参数技术指标指标要求产品要求采用安全的LinUX操作系统产品规格软件形态，建议安装环境至少满足：CPU：17、内存：32G,硬盘：500G产品性能可扫描总数量不少于XXX个无限制范围TP地址扫描对象WCb漏洞扫描、数据库漏洞扫描、主机软件漏洞扫描、基线配置核查部署方式支持旁路部署，无需改变原有的网络架构分布式部署功能要求产品要求界面友好，并有详尽的技术支持文档，所有图形界面要求中文。系统为B/S架构，并采用SSL加密通信方式，用户可以通过浏览器远程方便对产品访问操作，支持多用户同时登陆操作。提供分布式部署，上级管理设备能够方便查看下级设备状态。提供三权分立的账户体系，支持上下级部门管理，非上下级的不同部门任务、资产隔离。提供审计功能，能够对登陆日志、操作口常进行记录和查询，并可以将日志导入导出操作。提供日志自动审计功能，根据指定的审计标准自动、定时审计；并将审计结果发送到指定邮箱当中。厂商漏洞策略库大于35000条；提供详细的漏洞描述和对应的解决方案描述；漏洞知识库与国际CVE、国内CNNVD漏洞库标准兼容。系统内置不同的策略模板如针对LinuXsWindows操作系统等模板，同时允许用户定制扫描策略；用户可定义扫描范围、定义扫描端口、扫描使用的参数集等具体扫描选项。支持WindoWS系列操作系统,支持Linux主流操作系统(Cenlos、Redhat、DebianFedOra、UbuntuSUSe等)，支持UniX主流操作系统(AIX%HPUX、SOlariS等)；支持对Web、FTP、电子邮件等应用系统、APaChe等Web中间件服务器以及Office等常用软件进行漏洞扫描；可以自定义扫描端口范围、端口扫描策略提供采用SMB、SSH、SNMP、TELNET等协议对WindOWs、LinUX系统进行登录授权扫描。具备弱口令扫描功能，提供多种弱口令扫描协议，包括SMB、RDP、SSH>TELNET.FTP、SMTP、IMAP、PoP3、MySQL、MSSQL、REDIS、RTSP等协议进行弱口令扫描，允许用户自定义用户、密码字典。支持发现非默认端口启动的服务，支持服务的协议识别、版本可根据端口识别出的软件版本提供可能存在的相关漏洞列表，支持HTML、WORD、PDF、XLS报告格式配置核查模块产品提供系统安全配置核查功能，能够对主流操作系统、中间件的安全配置项目进行检查。Web扫描模块产品提供Web应用漏洞扫描功能,支持对DiSCUz、大汉CMS、PIIPCMS>DEDECMS>ECSHoP、WOrdPress、eWebEditor>FCKeditor>StrUtS2等国内外常见第三方组件扫描能够检测GET、POST、User-Agent.Cookie等多种方式提交的HP请求参数，并进行相应检测。能够通过Cookie的方式支持对带验证码的应用系统进行扫描；存在误报漏洞可通过产品在扫描结果处键反馈给厂商协助修改；支持识别国内外主流Web应用防火墙品牌，支持识别被扫描目标对象的网站响应状态，能根据不同的响应状态直观呈现不同颜色标识，管理人员可根据系统给出的漏洞参数、HTTP请求/响应数据，快速验证，一键验证漏洞数据库模块支持Oracle%MySq1、SQLServer-4DB2、Informix达梦、人大金仓的授权数据库漏洞扫描，产品资质产品具备公安部颁发的计算机信息系统安全专用产品销售许可证（增强级）。产品具备国家保密局涉密信息系统安全保密测评中心颁发的涉密信息系统产品检测证书。产品具备中国信息安全测评中心颁发的国家信息安全漏洞库兼容性资质证书。产品具备IPv6ReadyLogo认证证书产品具备网络关键设备和安全专用产品安全认证中国国家信息安全产品认证证书为保证能够提供准确可靠的Web应用漏洞扫描和恶意代码发现，要求提供网站漏洞扫描方法的专利证明不少于4种，要求提供专利截图。为保证能够提供准确可靠的数据库漏洞发现，要求提供数据库漏洞扫描方法的专利证明不少于4种。厂商资质产品厂家应为信息安全技术Web应用安全扫描产品安全技术要求标准起草单位之一，提供相关证明材料产品厂家应为信息安全技术数据库扫描产品安全技术要求标准起草单位之一，提供相关证明材料厂商获得中国信息安全测评中心颁发的国家信息安全测评信息安全服务资质证书（安全工程类三级）厂商获得中规（北京）认证有限公司颁发的知识产权管理体系认证证书（知识产权管理体系符合标准：GB/T29490-2013）厂商获得IS09001质量管理体系认证证书，证书体系覆盖人数不少于600人，覆盖人数需提供认监委官方网站查询结果厂商获得CMMI5认证证书